劉衛(wèi)紅

(石家莊鐵道大學(xué) 文法學(xué)院，河北 石家莊 050043)

0 引言

鐵路信息系統(tǒng)屬于《網(wǎng)絡(luò)安全法》和《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》規(guī)定需要重點(diǎn)保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施之一?！毒W(wǎng)絡(luò)安全法》實(shí)施后，我國(guó)鐵路運(yùn)輸企業(yè)作為網(wǎng)絡(luò)與信息安全的責(zé)任主體,建立了鐵路網(wǎng)絡(luò)安全信息保護(hù)制度，但結(jié)合《網(wǎng)絡(luò)安全法》，保護(hù)制度中涉及社會(huì)公眾信息保護(hù)的內(nèi)容有待完善，且因企業(yè)的制度不具有法律效力，保護(hù)亟需建立完備的鐵路網(wǎng)絡(luò)與信息安全法律和制度體系，為鐵路網(wǎng)絡(luò)信息安全保護(hù)提供法律保障。同時(shí)需要建立科學(xué)有效的網(wǎng)絡(luò)信息與安全監(jiān)管體系，打通監(jiān)管主體與相關(guān)部門的協(xié)同協(xié)作機(jī)制。

1 我國(guó)鐵路網(wǎng)絡(luò)信息安全立法概述

2013年我國(guó)鐵路政企改革后，18家鐵路局集團(tuán)成為中國(guó)鐵路總公司的全資控股公司。我國(guó)的鐵路計(jì)算機(jī)網(wǎng)絡(luò)分為中國(guó)鐵路總公司、鐵路局集團(tuán)、基層站段三級(jí)網(wǎng)絡(luò)體系。我國(guó)鐵路計(jì)算機(jī)網(wǎng)絡(luò)面臨計(jì)算機(jī)病毒威脅、惡意網(wǎng)絡(luò)攻擊、突發(fā)事件威脅等安全問(wèn)題[1]，不僅需要不斷更新鐵路信息技術(shù)，還需要完善鐵路網(wǎng)絡(luò)信息安全法律體系。目前我國(guó)鐵路網(wǎng)絡(luò)信息安全法律體系包括法律、法規(guī)、規(guī)章、規(guī)范性文件。

1.1 相關(guān)法律

鐵路網(wǎng)絡(luò)信息安全涉及的法律主要是《網(wǎng)絡(luò)安全法》、《國(guó)家安全法》、《反恐怖主義法》、《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》、《刑法》、《民法總則》、《保密法》、《治安管理處罰法》等。其中《網(wǎng)絡(luò)安全法》確立了網(wǎng)絡(luò)安全保護(hù)和網(wǎng)絡(luò)空間治理的基本框架，確定了網(wǎng)絡(luò)安全運(yùn)維、安全監(jiān)測(cè)與應(yīng)急處置以及個(gè)人信息保護(hù)等重要制度，為鐵路網(wǎng)絡(luò)信息安全法律體系完善提供了基本依據(jù)?！秶?guó)家安全法》、《反恐怖主義法》、《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》、《保密法》均強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施的保障體系系統(tǒng)建設(shè)；《刑法》、《民法總則》、《治安管理處罰法》規(guī)定個(gè)人信息的獲取、收集、使用和加工均應(yīng)依法進(jìn)行，違規(guī)入侵計(jì)算系統(tǒng)要受法律追究。如表1所示。

表1 涉及鐵路網(wǎng)絡(luò)信息安全的法律條款

1.2 相關(guān)行政法規(guī)、管理辦法

我國(guó)歷史上制定頒布了關(guān)于鐵路信息安全的條例和管理辦法(如表2所示)，為鐵路信息安全保護(hù)奠定了基礎(chǔ)。面對(duì)網(wǎng)絡(luò)信息安全形勢(shì)快速發(fā)展的新局面，當(dāng)前國(guó)家正在抓緊制定與《網(wǎng)絡(luò)安全法》配套的法律法規(guī)，比如網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定和保護(hù)辦法、數(shù)據(jù)跨境傳輸?shù)陌踩u(píng)估辦法、網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查制度等，相關(guān)立法草案正在按照立法程序征詢各相關(guān)方的意見。相信鐵路信息安全相關(guān)的法律法規(guī)將作為《網(wǎng)絡(luò)安全法》的下位法，使《網(wǎng)絡(luò)安全法》的很多原則性規(guī)定能夠得到具體實(shí)施。

表2 鐵路信息安全主要條例和管理辦法匯總

2 我國(guó)鐵路網(wǎng)絡(luò)信息安全法治化困境

(1)法律法規(guī)體系建設(shè)有待完善。目前涉及鐵路網(wǎng)絡(luò)信息安全的規(guī)定主要有國(guó)務(wù)院頒發(fā)的《鐵路安全管理?xiàng)l例》、國(guó)家鐵路局頒發(fā)的《高速鐵路安全防護(hù)管理辦法(征求意見稿)》。其中《鐵路安全管理?xiàng)l例》規(guī)定鐵路運(yùn)輸企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全應(yīng)急保障體系?！陡咚勹F路安全防護(hù)管理辦法(征求意見稿)》規(guī)定鐵路運(yùn)輸企業(yè)應(yīng)當(dāng)建立高速鐵路網(wǎng)絡(luò)安全保障體系，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

(2)制度體系和標(biāo)準(zhǔn)體系有待完善。目前，我國(guó)鐵路運(yùn)輸企業(yè)針對(duì)鐵路網(wǎng)絡(luò)與信息安全制度尚有待完善，尤其在乘客個(gè)人信息保護(hù)方面的制度保障有待加強(qiáng)，鐵路乘客個(gè)人信息因?yàn)楦采w面廣，更容易成為信息竊取的目標(biāo)。同時(shí)，標(biāo)準(zhǔn)體系尚不完善，只有建立和完善鐵路行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，才能有利于監(jiān)管主體有針對(duì)性地進(jìn)行監(jiān)管，確保鐵路管理信息化朝著一個(gè)安全、健康的方向發(fā)展。

(3)鐵路網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng)不夠完備。目前我國(guó)鐵路網(wǎng)絡(luò)與信息安全的責(zé)任主體的問(wèn)責(zé)制度、監(jiān)管主體以及監(jiān)管主體之間的監(jiān)管職責(zé)邊界以及相關(guān)之間的協(xié)同協(xié)作機(jī)制均不明確，不利于鐵路網(wǎng)絡(luò)信息安全的有效監(jiān)管。

(4)社會(huì)公眾個(gè)人信息保護(hù)缺乏法律支撐。目前涉及旅客個(gè)人信息保護(hù)的主要有《鐵路安全管理?xiàng)l例》、《鐵路旅客車票實(shí)名制管理辦法》等文件，規(guī)定鐵路運(yùn)輸企業(yè)及其工作人員在鐵路火車票實(shí)名制制度實(shí)施過(guò)程中對(duì)旅客身份信息不得竊取或泄露。歐盟2018年開始生效實(shí)施的《通用數(shù)據(jù)保護(hù)條例》對(duì)涉及個(gè)人數(shù)據(jù)保護(hù)的各個(gè)方面進(jìn)行了規(guī)定，實(shí)現(xiàn)了歐盟數(shù)字內(nèi)部市場(chǎng)的統(tǒng)一立法和統(tǒng)一監(jiān)管；美國(guó)不同于歐盟，其行業(yè)、領(lǐng)域都有各自適用的單行法，并通過(guò)和利益攸關(guān)方簽訂了雙邊協(xié)定，保護(hù)國(guó)內(nèi)不同行業(yè)領(lǐng)域的個(gè)人數(shù)據(jù)。我國(guó)鐵路網(wǎng)絡(luò)信息安全的法律法規(guī)應(yīng)充分參考借鑒國(guó)外成熟經(jīng)驗(yàn)，制定進(jìn)程有待加快。

3 鐵路網(wǎng)絡(luò)與信息安全法律體系完善建議

隨著鐵路運(yùn)輸信息化依賴程度逐漸提高，鐵路運(yùn)輸面臨的網(wǎng)絡(luò)空間安全威脅不斷加劇，為更好地保障鐵路運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)運(yùn)行安全、重要數(shù)據(jù)安全和個(gè)人隱私安全，需要完善鐵路網(wǎng)絡(luò)與信息安全法律體系和完善技術(shù)標(biāo)準(zhǔn)體系，依法落實(shí)責(zé)任體系。

(1)完善相關(guān)立法

《網(wǎng)絡(luò)安全法》、《民法總則》等對(duì)構(gòu)建我國(guó)鐵路網(wǎng)絡(luò)信息安全法制體系建設(shè)提供了基本法律依據(jù)，我國(guó)鐵路網(wǎng)絡(luò)信息安全法制體系應(yīng)保證國(guó)家經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行的同時(shí)，保證社會(huì)公眾的合法權(quán)益。國(guó)務(wù)院根據(jù)網(wǎng)絡(luò)安全法的規(guī)定對(duì)鐵路領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法。交通運(yùn)輸部根據(jù)國(guó)務(wù)院關(guān)于關(guān)鍵性基礎(chǔ)設(shè)施的保護(hù)辦法制定交通網(wǎng)絡(luò)與信息安全辦法，國(guó)家鐵路局制定《鐵路網(wǎng)絡(luò)與信息安全管理規(guī)定》等規(guī)范性文件。鐵路網(wǎng)絡(luò)信息安全法制體系應(yīng)明晰鐵路網(wǎng)絡(luò)與信息安全責(zé)任主體的權(quán)利義務(wù)以及對(duì)企業(yè)的問(wèn)責(zé)制度；明確鐵路網(wǎng)絡(luò)信息安全保護(hù)的監(jiān)管主體、各監(jiān)管主體之間的職責(zé)和權(quán)責(zé)邊界。

(2)完善鐵路網(wǎng)絡(luò)信息安全制度和技術(shù)標(biāo)準(zhǔn)

①完善鐵路網(wǎng)絡(luò)信息安全制度體系

結(jié)合鐵路行業(yè)重要信息系統(tǒng)等級(jí)保護(hù)和安全測(cè)評(píng)工作，鐵路運(yùn)輸企業(yè)應(yīng)制定相關(guān)運(yùn)維管理制度、內(nèi)部運(yùn)維人員管理、外部攻擊入侵防護(hù)、安全產(chǎn)品使用和運(yùn)維管理責(zé)任劃分等[4]。確立關(guān)鍵信息基礎(chǔ)設(shè)施目錄，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全運(yùn)維；制定鐵路行業(yè)的安全監(jiān)測(cè)預(yù)警機(jī)制和信息通報(bào)制度。

②完善鐵路網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)

我國(guó)鐵路行業(yè)的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)體系尚不完善，建立系統(tǒng)科學(xué)并且適合于我國(guó)鐵路行業(yè)的標(biāo)準(zhǔn)體系，保障鐵路運(yùn)輸平穩(wěn)運(yùn)行，則顯得尤為緊迫[5]。

根據(jù)《標(biāo)準(zhǔn)化法》的規(guī)定，鐵路網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)屬于保障人身健康和生命財(cái)產(chǎn)安全、國(guó)家安全、生態(tài)環(huán)境安全以及滿足經(jīng)濟(jì)社會(huì)管理基本需要的技術(shù)要求，應(yīng)當(dāng)制定強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)，完善企業(yè)標(biāo)準(zhǔn)。

(3)建立鐵路網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng)

①鐵路網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng)建設(shè)方面的法律缺失，鐵路監(jiān)管機(jī)關(guān)與相關(guān)部門在鐵路運(yùn)營(yíng)網(wǎng)絡(luò)信息領(lǐng)域建立鐵路信息安全監(jiān)管系統(tǒng)，以監(jiān)管主體為中心，由監(jiān)管主體確定整個(gè)系統(tǒng)的管理體系，將涉及的整個(gè)鐵路網(wǎng)絡(luò)系統(tǒng)作為一個(gè)整體[6]。鐵路網(wǎng)絡(luò)信息安全監(jiān)管主體在各自的職能范圍內(nèi)依法履行對(duì)鐵路網(wǎng)絡(luò)信息安全的的監(jiān)管職責(zé)。鐵路監(jiān)管機(jī)關(guān)主要表現(xiàn)在組織、指導(dǎo)、協(xié)調(diào)的職能。鐵路監(jiān)管部門應(yīng)對(duì)鐵路運(yùn)輸企業(yè)網(wǎng)絡(luò)應(yīng)急管理機(jī)制、安全等級(jí)保護(hù)制度、技術(shù)服務(wù)等方面進(jìn)行重點(diǎn)監(jiān)管。

②鐵路運(yùn)輸企業(yè)與相關(guān)部門建立聯(lián)動(dòng)協(xié)作機(jī)制

鐵路網(wǎng)絡(luò)信息安全除了依靠鐵路部門依法履行責(zé)任主體的義務(wù)，還需要鐵路監(jiān)管部門的協(xié)調(diào)與監(jiān)督，鐵路反恐部門、公安機(jī)關(guān)等相關(guān)部門的配合，因此鐵路運(yùn)輸企業(yè)應(yīng)建立與相關(guān)部門的協(xié)作機(jī)制，定期召開聯(lián)席會(huì)議制度。

(4)完善對(duì)個(gè)人信息保護(hù)具體措施

鐵路信息化建設(shè)進(jìn)程中不斷采用新技術(shù)，提高了鐵路運(yùn)輸?shù)男屎涂蛻趔w驗(yàn)，也在無(wú)意中制造了漏洞，帶來(lái)了一系列安全挑戰(zhàn)。鐵路信息系統(tǒng)中存儲(chǔ)的運(yùn)輸安全相關(guān)數(shù)據(jù)資源以及大量敏感信息和公民個(gè)人信息一旦泄露，將會(huì)影響整個(gè)鐵路運(yùn)輸行業(yè)的穩(wěn)定運(yùn)行，危及國(guó)家安全和人民群眾的生命、財(cái)產(chǎn)安全。根據(jù)《網(wǎng)絡(luò)安全法》第七十四條的規(guī)定違反本法規(guī)定，給他人造成損害的，依法承擔(dān)民事責(zé)任?！睹穹倓t》頒布前，對(duì)自然人的個(gè)人信息的保護(hù)主要由行政法和刑法予以規(guī)制，救濟(jì)手段多為懲罰性或者管理性手段，《民法總則》設(shè)定了侵權(quán)人承擔(dān)民事責(zé)任的救濟(jì)手段?！睹穹倓t》雖然規(guī)定任何組織和個(gè)人需要獲取他人個(gè)人信息的應(yīng)當(dāng)依法取得并確保信息安全。但是我國(guó)法律未規(guī)定個(gè)人信息保護(hù)案件的舉證責(zé)任機(jī)制，導(dǎo)致司法機(jī)關(guān)無(wú)法可依，無(wú)法真正保護(hù)旅客的個(gè)人信息。因此應(yīng)明確侵犯?jìng)€(gè)人信息案件中鐵路運(yùn)輸企業(yè)負(fù)有舉證責(zé)任，才能倒逼鐵路運(yùn)輸企業(yè)構(gòu)建個(gè)人信息保護(hù)制度，強(qiáng)化系統(tǒng)權(quán)限管理機(jī)制，操作應(yīng)留下痕跡，下載有提示功能，避免因?yàn)榕e證不當(dāng)而承擔(dān)責(zé)任。

4 結(jié)論

鐵路網(wǎng)絡(luò)信息安全需要鐵路網(wǎng)絡(luò)信息安全法律、法規(guī)保駕護(hù)航。鐵路網(wǎng)絡(luò)信息安全法治化路徑為國(guó)務(wù)院加快制定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)與信息安全保護(hù)的行政法規(guī)，交通運(yùn)輸部出臺(tái)《鐵路網(wǎng)絡(luò)信息安全保護(hù)辦法》，確定鐵路網(wǎng)絡(luò)信息安全保護(hù)的責(zé)任主體、監(jiān)管主體等主體的權(quán)利義務(wù)以及權(quán)責(zé)邊界等內(nèi)容，國(guó)家鐵路局會(huì)同相關(guān)機(jī)關(guān)制定鐵路網(wǎng)絡(luò)信息安全保護(hù)的行業(yè)標(biāo)準(zhǔn)，鐵路監(jiān)管機(jī)關(guān)應(yīng)與相關(guān)部門共同構(gòu)建鐵路網(wǎng)絡(luò)與信息監(jiān)管協(xié)同、聯(lián)動(dòng)機(jī)制。